動作確認環境
- PA-200
- Version 8.1.19
IPsec VPN 検証構成
以下の構成で Palo Alto と Cisco ルータの間で IPsec VPN を構築します。
なお、今回はルートベースの VPN を設定します。
Palo Alto: IPsec VPN 設定手順
Palo Alto ファイアウォール でIPsec VPN を設定するためには以下の手順で設定します。
- LAN/WAN 物理インターフェースの設定
- Tunnel インターフェースの設定
- IKE 暗号の設定
- IKE ゲートウェイの設定
- IPsec 暗号の設定
- IPsec トンネルの設定
- スタティックルートの設定
- セキュリティポリシーの設定
①LAN/WAN 物理インターフェースの設定
物理インターフェースの設定では普通にレイヤ3インターフェースの設定を行います。
検証環境では以下内容で設定しました。
- ethernet1/1 (WAN 側)
- タイプ: レイヤー3
- 仮想ルータ: default
- ゾーン: Untrust
- IP アドレス: 10.1.1.1/24
- ethernet1/2 (LAN 側)
- タイプ: レイヤー3
- 仮想ルータ: default
- ゾーン: Trust
- IP アドレス: 10.1.2.1/24
②Tunnel インターフェースの設定
Tunnel インターフェースの設定は [Network → インターフェイス] 画面の [トンネル] タブから行います。画面下部の [追加] をクリックします。
トンネルインターフェース設定画面が表示されるため設定していきます。
まず画面右上の欄でトンネルインターフェース ID を設定します。検証環境では 1 にしています。また画面下部で仮想ルータとゾーンを設定します。ゾーンはレイヤー3ゾーンから選択します。
次に IPv4 タブで IP アドレスを設定します。
必要に応じてインターフェース管理プロファイルを設定します。
以上でトンネルインターフェースの設定は完了です。
③IKE 暗号の設定
IKE 暗号を設定するためには [Network → IKE 暗号] 画面の下側の [追加] をクリックします。
以下の IKE 暗号プロファイルの設定画面が表示されるため、各項目を設定します。
検証環境では以下の通り設定しました。
- 名前: ike-crypto
- DH グループ: group14
- 認証アルゴリズム: sha256
- 暗号化アルゴリズム: aes-128-cbc
- タイマー: デフォルト
以上で IKE 暗号の設定は完了です。
④IKE ゲートウェイの設定
IKE ゲートウェイを設定するためには [Network → IKE ゲートウェイ] 画面の下側の [追加] をクリックします。
IKE ゲートウェイ設定画面が表示されるため、各項目を設定していきます。
検証環境では以下の設定をしました。
- 名前: ike-gateway
- バージョン: IKEv1 only mode
- アドレスタイプ: IPv4
- インターフェイス: ethernet1/1 (WAN 側の物理インターフェース)
- ローカル IP アドレス: 10.1.1.1/24 (上で指定したインターフェースの IP アドレス)
- ピアIPアドレスタイプ: IP
- ピアアドレス: 10.1.1.254 (ピア VPN 装置の WAN 側の物理インターフェースの IP アドレス)
- 認証: Pre-Shared Key (事前共有鍵方式)
- 事前共有鍵: password
- ローカルID/ピア ID: None
続いて詳細オプションタブも設定していきます。
- パッシブモードを有効にする: OFF (デフォルト)
- NAT トラバーサルを有効にする: OFF (デフォルト)
- 交換モード: main (main/aggressive/auto から選択)
- IKE 暗号プロファイル: ike-crypto (事前に作成したもの)
- フラグメンテーションを有効にする: 無効 (デフォルト)
- デッドピア検出: 有効 (デフォルト)
- 間隔: 5 (デフォルト)
- 再試行: 5 (デフォルト)
以上で IKE ゲートウェイの設定は完了です。
⑤IPsec 暗号の設定
IPsec 暗号を設定するためには [Network → IPsec 暗号] 画面の下側の [追加] をクリックします。
以下の IPsec 暗号プロファイル設定画面が表示されるため、各項目を設定していきます。
検証環境では以下の設定をしました。
- 名前: ipsec-crypto
- IPsec プロトコル: ESP
- 暗号化アルゴリズム: aes-128-cbc
- 認証アルゴリズム: sha256
- DH グループ: no-pfs (DH グループを使用しない)
- ライフタイム: 1時間 (デフォルト)
- 有効化: OFF (デフォルト)
以上で iPsec 暗号プロファイルの設定は完了です。
⑥IPsec トンネルの設定
IPsec トンネルを設定するためには [Network → IPsec トンネル] 画面の下側の [追加] をクリックします。
以下の IPsec トンネル設定画面が表示されるため設定していきます。
- 名前: ipsec-tunnle
- トンネルインターフェイス: tunnel.1 (最初に作成しておいたトンネルインターフェース)
- タイプ: 自動キー (デフォルト)
- アドレスタイプ: IPv4
- IKE ゲートウェイ: ike-gateway (作成しておいた IKE ゲートウェイ)
- IPsec 暗号プロファイル: ipsec-crypto (作成しておいた IPsec 暗号)
- リプレイプロテクションを有効にする: 有効 (デフォルト)
- TOS ヘッダーのコピー: 無効 (デフォルト)
- トンネルモニター: 無効 (デフォルト)
プロキシ ID タブでは、ポリシーベース VPN を設定する場合のみ、暗号化対象通信を設定します。
今回の検証環境ではルートベースの VPN とするためプロキシ ID は設定しません。
以上で IPsec トンネルの設定は完了です。
また IPsec 関係の設定は以上です。
⑦スタティックルートの設定
今回の検証構成では、10.1.3.0/24 セグメント宛のスタティックルートが Palo Alto で必要になります。そのため、10.1.3.0/24 宛の場合、IPsec トンネルを通るようスタティックルートを設定します。
以下のように、宛先が 10.1.3.0/24 の場合はネクストホップをトンネルのピアアドレスである 10.10.1.254 と設定します。
⑧セキュリティポリシーの設定
LAN 側から IPsec 側への通信と、IPsec 側から LAN 側への通信を許可するセキュリティポリシーを設定します。
ゾーン設定は以下のようになっています。
- Trust ゾーン: LAN 側のゾーンです
- IPsecVPN ゾーン: トンネルインターフェース側のゾーンです
IPsec VPN の状態確認
GUI では [Network → IPsec トンネル] 画面のトンネルリストのマークから状態を確認できます。
左側の状態欄は IKE フェーズ 2 の状態、右側の状態欄は IKE フェーズ 1 の状態に対応します。
それぞれ緑色のマークになっていれば正常に確立できています。
CLI では以下のコマンドで状態確認できます。
show vpn ike-sa- IKE SA の情報を表示
admin@PA-200> show vpn ike-sa
IKEv1 phase-1 SAs
GwID/client IP Peer-Address Gateway Name Role Mode Algorithm Established Expiration V ST Xt Phase2
-------------- ------------ ------------ ---- ---- --------- ----------- ---------- - -- -- ------
1 10.1.1.254 ike-gateway Resp Main PSK/DH14/A128/SHA256 Feb.25 19:00:51 Feb.26 03:00:51 v1 13 1 1
Show IKEv1 IKE SA: Total 1 gateways found. 1 ike sa found.
IKEv1 phase-2 SAs
Gateway Name TnID Tunnel GwID/IP Role Algorithm SPI(in) SPI(out) MsgID ST Xt
------------ ---- ------ ------- ---- --------- ------- -------- ----- -- --
ike-gateway 1 ipsec-tunnel 1 Resp ESP/ /tunl/SHA2 EB9EF845 8D6A9793 3599CB37 9 1
Show IKEv1 phase2 SA: Total 1 gateways found. 1 ike sa found.
There is no IKEv2 SA found.show vpn ike-sa detail gateway ike-gateway- IKE SA の詳細な情報を表示
admin@PA-200> show vpn ike-sa detail gateway ike-gateway
IKE Gateway ike-gateway, ID 1 10.1.1.1 => 10.1.1.254
Current time: Feb.25 19:38:11
IKE Phase1 SA:
Cookie: 564AEF437783064E:B597E208086C467E Resp
State: Dying
Mode: Main
Authentication: PSK
Proposal: AES128-CBC/SHA256/DH14
NAT: Not detected
Message ID: 0, phase 2: 0
Phase 2 SA created : 1
Created: Feb.25 19:00:51, 37 minutes 21 seconds ago
Expires: Feb.26 03:00:51show vpn ipsec-sa- IPsec SA の情報を表示
admin@PA-200> show vpn ipsec-sa
GwID/client IP TnID Peer-Address Tunnel(Gateway) Algorithm SPI(in) SPI(out) life(Sec/KB)
-------------- ---- ------------ --------------- --------- ------- -------- ------------
1 1 10.1.1.254 ipsec-tunnel(ike-gateway) ESP/A128/SHA256 EB9EF845 8D6A9793 1241/4608000
Show IPSec SA: Total 1 tunnels found. 1 ipsec sa found.show log system subtype equal vpn- VPN に関するシステムログの表示
admin@PA-200> show log system subtype equal vpn direction equal forward start-time equal 2023/02/25@00:00:00
Time Severity Subtype Object EventID ID Description
===============================================================================
2023/02/25 19:00:51 info vpn ike-ga ike-neg 0 IKE phase-1 negotiation is started as responder, main mode. Initiated SA: 10.1.1.1[500]-10.1.1.254[500] cookie:564aef437783064e:b597e208086c467e.
2023/02/25 19:00:51 info vpn ike-ga ike-neg 0 IKE phase-1 negotiation is succeeded as responder, main mode. Established SA: 10.1.1.1[500]-10.1.1.254[500] cookie:564aef437783064e:b597e208086c467e lifetime 28800 Sec.
2023/02/25 19:00:51 info vpn 10.1.1 ike-neg 0 IKE phase-2 negotiation is started as responder, quick mode. Initiated SA: 10.1.1.1[500]-10.1.1.254[500] message id:0x3599CB37.
2023/02/25 19:00:51 info vpn ipsec- ike-neg 0 IKE phase-2 negotiation is succeeded as responder, quick mode. Established SA: 10.1.1.1[500]-10.1.1.254[500] message id:0x3599CB37, SPI:0xEB9EF845/0x8D6A9793.
2023/02/25 19:00:51 info vpn ipsec- ipsec-k 0 IPSec key installed. Installed SA: 10.1.1.1[500]-10.1.1.254[500] SPI:0xEB9EF845/0x8D6A9793 lifetime 3600 Sec lifesize 4608000 KB.
2023/02/25 19:01:51 info vpn ike-ga ike-rec 0 IKE protocol IPSec SA delete message received from peer. SPI:0x5FF90241.参考: CLI での IPsec 設定コマンド
◆IKE 暗号
set network ike crypto-profiles ike-crypto-profiles ike-crypto hash sha256
set network ike crypto-profiles ike-crypto-profiles ike-crypto dh-group group14
set network ike crypto-profiles ike-crypto-profiles ike-crypto encryption aes-128-cbc
set network ike crypto-profiles ike-crypto-profiles ike-crypto lifetime hours 8◆IKE ゲートウェイ
set network ike gateway ike-gateway authentication pre-shared-key key password
set network ike gateway ike-gateway protocol ikev1 dpd enable yes
set network ike gateway ike-gateway protocol ikev1 ike-crypto-profile ike-crypto
set network ike gateway ike-gateway protocol ikev1 exchange-mode main
set network ike gateway ike-gateway protocol ikev2 dpd enable yes
set network ike gateway ike-gateway local-address ip 10.1.1.1/24
set network ike gateway ike-gateway local-address interface ethernet1/1
set network ike gateway ike-gateway protocol-common nat-traversal enable no
set network ike gateway ike-gateway protocol-common fragmentation enable no
set network ike gateway ike-gateway peer-address ip 10.1.1.254◆IPsec 暗号
set network ike crypto-profiles ipsec-crypto-profiles ipsec-crypto esp authentication sha256
set network ike crypto-profiles ipsec-crypto-profiles ipsec-crypto esp encryption aes-128-cbc
set network ike crypto-profiles ipsec-crypto-profiles ipsec-crypto lifetime hours 1
set network ike crypto-profiles ipsec-crypto-profiles ipsec-crypto dh-group no-pfs◆IPsec トンネル
set network tunnel ipsec ipsec-tunnel auto-key ike-gateway ike-gateway
set network tunnel ipsec ipsec-tunnel auto-key ipsec-crypto-profile ipsec-crypto
set network tunnel ipsec ipsec-tunnel tunnel-monitor enable no
set network tunnel ipsec ipsec-tunnel tunnel-interface tunnel.1参考資料
IPSec の構成方法 VPN
このドキュメントでは、IPSec を構成する手順について説明しますVPNパロアルトネットワークスを想定firewallレイヤ 3 モードで動作するインターフェイスが少なくとも 2 つあります。
knowledgebase.paloaltonetworks.com
コメント